Обычно Splunk ассоциируется с решениями по аналитике ИТ и ИБ. Так происходит не случайно, так как многие надстройки и приложения ориентированы именно на эти сферы.
Но, кроме того, Splunk способен решать вопросы, которые выходят за традиционные кейсы по ИТ и ИБ, связанные, например, с бизнес аналитикой. Причем примеры решений есть не только для распространенных случаев, которые не зависят от специфики бизнеса, но и для конкретных отраслей, в частности, для отрасли финансовых услуг, о которой мы поговорим под катом.
В рамках статьи мы поговорим о новом приложении Splunk Essentials for the Financial Services Industry App (FSI). Это первое приложение Essentials, которое фокусируется на вертикальном (т.е отраслевом) рынке и охватывает кейсы от деятельности коммерческих банков до брокерских компаний.
Что такое Splunk Essentials?
Splunk Essentials — это серия бесплатных обучающих приложений, созданных, чтобы научить пользователей обращаться с их данным и получать ценность из них. В приложении разобраны конкретные практические кейсы: источники данных, SPL запросы, скриншоты и тд.
В первой версии Splunk Essentials для FSI представлено 15 кейсов, которые иллюстрируются 94 примерами. Рассмотрим это приложение подробнее.
Essentials for FSI
Приложение можно скачать на Splunkbase, а затем установить либо на автономную машину, либо на Search Head, если у вас распределенная архитектура. После этого приложение сразу готово к работе, для него не требуется дополнительных настроек и загрузок, так как все данные и справочники уже есть в приложении.
Главная страница приложения содержит все варианты использования с их описанием.
Мы разделили все кейсы на три темы:
- Мошенничество в банках
- Комплаенс
- Аналитика
Мошенничество в коммерческих банках
К мошенничеству в банках в приложении относятся 3 раздела:
- Мошенничество с банкоматами
- Мошенничество при переводе денежных средств
- Мошенничество с кредитными картами
В каждом случае на данный момент есть по пять базовых примеров, но в дальнейшем они будут расширяться. Так как мошенничество обычно происходит в банках, работающих с физическими лицами, когда данные учетной записи скомпрометированы или доступ к учетным записям или картам осуществляется незаконным образом, то именно на этих событиях базируются примеры.
Комплаенс
- MiFID
- Соблюдение требований банковского обслуживания
MiFID – это разработанная Европейским союзом директива, которая необходима для реализации разработанного Европейским Союзом плана по созданию регулируемого единого рынка финансовых инструментов. Целью создания этого документа является регулирование операций на Европейской бирже, предоставляя при этом полномасштабную защиту биржевых игроков и остальных участников биржи.
В Splunk MiFID-примеры основаны на том, что все хосты, участвующие в торговых системах, имеют свои настройки времени, но они должны быть в пределах допустимого отклонения от точного времени, а неправильные настройки времени могут привести к неправильному исполнению сделки.
В разделе про соблюдение требований банковского обслуживания представлены примеры для процесса многоканального банковского обслуживания. Логика работы такая: после того, как клиент выполняет банковскую операцию, запись о его операции попадает в Splunk, дополняется данными о клиенте из справочника и дается возможность узнать, есть ли у клиента такие проблемы, как, например, отрицательный баланс счетов, неактивные счета, слишком много счетов и т.д. Это не только может помочь с отправкой оповещений клиенту, но также даст возможность банку проводить аудит с использованием истории операций и состояния счетов, что позволит контролировать исполнение требований и правил, которые банк устанавливает для себя.
Аналитика
Третья тема, раскрытая в этом приложении это статистика или аналитика. В Splunk аналитика может быть построена, как только данные проиндексируются в систему, что означает что результат можно получить почти в режиме реального времени, в отличие от других решений, которые используют подход ETL для неструктурированных машинных данных и обработка может занимать до нескольких часов. Источники данных для этих кейсов включают в себя в основном логи приложений.
К аналитике можно отнести следующие разделы:
- Bitcoin — статистика и отслеживание биткойн-логов. Также существует отдельное приложение для аналитики Bitcoin.
- Transaction Statistics — аналитика для гипотетической четырехэтапной транзакции, включающая в себя расчет общей продолжительности и продолжительности каждого этапа транзакции и др.
- Trade — Where is it? — отслеживает данные по торговым операциям на основе общих идентификаторов в разных системах.
- Payment Response — Получает ли запрос на платеж ответ на основе общих идентификаторов? В этом кейсе есть построение статистики для ответов, а также примеры для гипотетического отслеживания SLA.
- New User Login — какой опыт по работе с сервисом получает пользователь после первого входа в систему? Было ли ему где-то отказано в доступе на какие-то страницы или встречался ли он с долгим временем ответа?
- ATM Statistics — аналитика по использованию банкоматов.
- Wire Transfer Statistics — аналитика по банковским переводам.
- Credit Card Statistics — аналитика по использованию кредитных карт
- New Credit Limit — аналитика по одобренным или отклоненным запросам о изменении кредитных лимитов.
Теперь, когда мы перечислили все варианты использования, давайте рассмотрим конкретный пример, чтобы узнать, как использовать приложение.
Как пользоваться приложением?
Нажмите «Wire Transfer Fraud» на странице «Introduction», и вы увидите все примеры по выявлению мошенничества по денежным переводам.
Примеры разбиты на 4 уровня, которые Splunk выделяет в процессе операционной аналитики. Чем выше уровень, тем более сложный пример, который может принести больше ценности. На данный момент большинство примеров представлены для первых двух уровней, но приложение будет дорабатываться и вскоре, мы надеемся, что для каждого кейса будут раскрыты все 4 уровня.
Далее нажимаем на Wire Transfer Fraud Multiple Client IPs. В этом примере показаны пользователи, которые инициируют запросы на переводы из нескольких клиентских IP-адресов менее чем за одну минуту. Такое поведение может указывать на мошенничество.
Как можно заметить, в каждом примере есть описание, почему это важно, как реализовать и построить поисковый запрос. Если развернуть «Show Search» и нажать «Show SPL», то вы получите прокомментированное описание SPL запроса, которое поможет понять, как использовать этот поиск для ваших собственных задач. Все примеры поисковых запросов в этом приложении имеют такую возможность.
После выполнения поиска вы можете посмотреть результаты в нижней части страницы.
В этом примере мы видим, что клиент в одну минуту сделал 2 перевода денежных средств с использованием разных IP-адресов.
Конечно, не все примеры в приложении основаны на выбросах или аномальном поведении. Давайте рассмотрим пример, который показывает статистику времени ответа по кредитной карте.
Закладки
Создатели приложений Essentials создали приятную функцию, которая позволяет добавить пример в закладки, чтобы можно было легко посмотреть его позже или показать другим юзерам, что этот пример вам показался интересным. Чтобы сделать так, нужно щелкнуть по маленькому флажку рядом с названием любого примера. Затем из верхнего меню вы можете перейти к своим закладкам.
Продвинутые пользователи могут использоваться эти закладки для исследования на собственных данных.
Заключение
Мы надеемся, что приложение Splunk Essentials даст вам некоторые полезные идеи для использования Splunk в финансовой отрасли. Как мы уже упоминали, в следующих релизах приложения появятся новые примеры, но уже те, что есть в данный момент, покрывают многие проблемные вопросы в использовании машинных данных для финансов.
Скачать приложение можно с сайта SplunkBase.
Если вы все еще не пробовали Splunk, то самое время начать, бесплатная версия до 500Мб в сутки доступна всем желающим. А если у вас есть вопросы или проблемы со Splunk — вы можете задать их нам, а мы поможем.
Мы являемся официальным Premier Партнером Splunk.